首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单
admin
2016-11-13
62
问题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
某MOOC(慕课)教育平台欲开发一基于Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单实现作业题目的打分和评价,其中打分为1~5分制整数,评价为文本。
系统要支持:
(1)在特定时期内300个用户并发时,主要功能的处理能力至少要达到16个请求/秒,平均数据量16kB/请求;
(2)系统前端采用HTML5实现,以使用户可以通过不同的移动设备的浏览器进行访问。
【问题4】
设计4个打分和评价的测试输入,考虑多个方面的测试,如:正确输入、错误输入、XSS、SQL注入等测试。
选项
答案
(1)打分为任何在1~5范围内的数字,评价为任意文本; (2)打分为任何在1~5范围外的数字,评价为任意文本; (3)打分和评价其中任一字段包含HTML标签,如:<HTML>,<SCRIPT>等; (4)打分和评价其中任一字段包含SQL功能符号,如包含’,OR、’--、2015’OR‘1’=‘1’等。
解析
本题考查Web应用测试的输入方面,包括输入的不同情况、安全性方面的SQL注入和XSS跨站攻击。
打分和评价的测试输入应该考虑分值的取值范围之内和之外以及文本中的内容:
(1)打分为任何在1~5范围内的数字,评论为任意文本;
(2)打分为任何在1~5范围外的数字,评论为任意文本;
输入的内容中输入符号可能会传到后台引起安全问题。
许多Web应用系统采用某种数据库,接收用户从Web页面中输入,完成展示相关存储的数据、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的SQL拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即SQL注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份、查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。SQL注入在使用SSL,的应用中仍然存在,甚至是防火墙也无法防止SQL注入。因此,在测试Web应用时,需要认真仔细设计测试用例,进行认真严格的测试,以保证如果存在SQL注入可以及早发现。
本系统测试时,设计测试如为:对打分和评价中任一字段设计包含SQL功能符号,如包含‘,OR、’--、2015’OR‘1’=‘1’等,检查结果是否造成注入问题。
许多Web应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。例如,在本系统中进行打分和评论后,学生查看时显示分值和评价的内容。如果用户可以输入如下带有HTML标记的内容:
即新用户所看到的网页中显示Click me!,当用户鼠标移过此文字时,就会弹出窗口(左侧为Chrome弹出,右侧为IE9直接给出的提示窗口,多次鼠标滑过操作Chrome提示窗口多了一行浏览器对阻止这类代码的创建新窗口的选项,Firefox类似):
而如果这类代码都可以执行,就存在被真正恶意攻击者攻击的可能,而且可能造成各类安全问题。所以网站提交代码中的任何脚本、页面功能符号都不应该被直接接受以作为功能符号在后续使用。所以测试时需要考虑设计包含HTML标记符、脚本等测试输入,如<HTML>、<script>、<b>等功能符号。
转载请注明原文地址:https://kaotiyun.com/show/EzPZ777K
本试题收录于:
软件评测师下午应用技术考试题库软考中级分类
0
软件评测师下午应用技术考试
软考中级
相关试题推荐
一般采用Web技术和SOA架构,向用户提供多租户、可定制的组件、工作流等服务属于()。
()属于DNS服务器选型时需考虑的功能。
类库、构件、模板和框架是软件开发过程中常用的几种提高软件质量、降低开发工作量的软件复用技术。()是面向对象的类库的扩展,并由一个应用相关联构件家族构成,这些构件协同工作形成了它的基本结构骨架。
使计算机系统各个部件、相关的软件和数据协调、高项工作的是()。
()的目的是对最终软件系统进行全面的测试确保最终软件系统产品满足需求。
在机房和综合布线工程实施过程中,对隐蔽工程的监理是非常重要的,因为隐蔽工程一旦完成隐蔽,以后如果出现问题就会耗费很大的工作量,同时对已完成的工程造成不良的影响。以下对于隐蔽工程描述不正确的是:_____________。
根据程序流程图所示,满足条件覆盖的用例是______。①CASE1:x=1,y=3,z=0②CASE2:x=3,y=2,z=1③CASE3:x=1,y=2,z=0④CASE4:x=1,y=1,z=0
网络集成面临互连异质、异构网络等问题,网络互连设备既可用软件实现,也可用硬件实现。以下_____________不属于网络互连设备。
在X综合布线项目中,承建单位出现了进度、质量相关问题,监理单位立即向各方提出了意见和建议,并在必要时告知了建设单位。这体现了监理单位在合同管理中的_____________原则。
随机试题
以下哪项不是病理性蛋白尿
三(四)腔气囊管压迫止血适用于()。
张先生,38岁。有慢性咳嗽、咳痰史20余年。常咳黄脓痰,一般晨起较多,近2年来咯血4次。听诊右下肺有湿啰音,心脏无异常。病人咯血时,下列表现哪项是错误的
下列药物中,哪个含有苯乙胺结构
承包合同或参与法人项目管理为项目执行管理层次()阶段的工作任务。
所谓合同转让,是指合同成立后,当事人依法可以将合同中的全部权利、部分权利或者合同中的全部义务、部分义务转让或转移给第三人的法律行为。下列关于合同转让的叙述中,正确的是()。
银行从业人员必须在以下几个方面明确沟通目标()。
某酒店的维修部与某旅行社签订订房合同,则该合同属于()
“启发”一词,源于古代教育家孔子的“不愤不启,不悱不发”。启发式教学主张启发学生,引导学生,但不硬牵着他们走;严格要求学生,但不施加压力;指明学习的路径,但不代替他们达成结论。随着现代科学技术的进步和教学经验的积累,启发式教学不断得到丰富和发展。结合上述材
设f(x)是二阶常系数非齐次线性微分方程y"+py’+qy=sin2x+2ex的满足初始条件f(0)=f’(0)=0的特解,则当x→0时,
最新回复
(
0
)